Guia de como implementar DevSecOps

O que é a metodologia DevSecOps?

Quando falamos dee DevSecOps, nos referimos não apenas a uma metodologia, mas a uma cultura em expansão entre as empresas de desenvolvimento tecnológico, onde a segurança é introduzida e tratada desde o início e permanece ao longo de todo o ciclo de vida do desenvolvimento de software (SDLC). No DevSecOps, como parte de uma evolução do modelo anterior (DevOps), a equipe de segurança se integra em uma colaboração entre as equipes de desenvolvimento e operações. O DevOps tinha como foco alcançar uma alta velocidade na entrega de um produto de excelente qualidade ao mercado. Agora, o DevSecOps mantém esse objetivo, mas adiciona o propósito de garantir que o produto seja seguro. Com essa cultura corporativa, a segurança se torna uma responsabilidade compartilhada de todos os membros da organização.

Visão geral da implementação do DevSecOps

Implementar DevSecOps é fazer o "shift left" da segurança, ou seja, integrá-la ao processo de desenvolvimento de tecnologia antes que a primeira linha de código apareça. Adotar o DevSecOps é trazer para o SDLC requisitos e testes de segurança, priorização e remediação de vulnerabilidades, e monitoramento judicioso para prevenção de riscos e economia de custos. Diferente de metodologias anteriores, a identificação e remediação de problemas de segurança acontecem em sincronia com a atividade de desenvolvimento, sem esperar até o final de cada ciclo. No DevSecOps, a segurança atua no planejamento, design, construção, testes e release do software, fornecendo feedback contínuo a todas as equipes envolvidas.

Componentes fundamentais do DevSecOps

A implementação de DevSecOps se baseia em quatro componentes fundamentais: pessoas, processos, tecnologias e governança.

Primeiro, são as pessoas, ou seja, os membros dos times, que serão integrados para cooperar. São eles que, como parte da mudança cultural, assumirão a responsabilidade compartilhada pela segurança em seus workflows. São eles que treinarão e serão treinados para que a segurança seja injetada no DNA corporativo.

Do lado dos processos, o modelo de responsabilidade compartilhada exige que os objetivos gerais de velocidade, segurança e estabilidade do software sejam mantidos por todos os stakeholders. Portanto, as melhores práticas em segurança, desenvolvimento e operações devem ser adotadas desde o início e ao longo de todo o SDLC.

Para isso, o suporte fornecido pelas tecnologias é crucial. Estas se integram aos ciclos e facilitam muitos processos. Testes de segurança com ferramentas automatizadas, por exemplo, que complementam os testes de segurança manuais feitos por especialistas, são valiosos na cultura DevSecOps. No entanto, a automação deve ser usada quando necessário e não em excesso, para não afetar a eficácia do desenvolvimento e deploy do software.

Finalmente, o DevSecOps deve envolver governança. As empresas precisam monitorar seus procedimentos, medir seu desempenho, identificar e analisar seus obstáculos, falhas e progressos, definir desafios e aprender e melhorar com a ajuda de feedback. As métricas obtidas ao longo da maturação do DevSecOps de uma organização são muito úteis para a tomada de decisões de governança.

Princípios ou passos básicos do DevSecOps

Em relação a esses elementos, a seguir estão alguns princípios ou passos básicos na implementação de DevSecOps dentro de uma organização:

• Promover uma mudança cultural gradual.

• Educar, treinar e certificar colaboradores em diversas funções em segurança e boas práticas.

• Escolher em quais pontos do SDLC realizar procedimentos específicos de segurança.

• Automatizar processos (incluindo alguns da governança) e ferramentas para estabilidade e repetição em diferentes fases dos ciclos.

• Começar avaliando pequenas porções de código ou casos específicos e priorizados.

• Realizar intervenções manuais contínuas para retestar e aprofundar.

• Utilizar métricas para medir desempenho e progresso, e aprender com o feedback.

Fatores motivadores da adoção do DevSecOps

A popularidade da metodologia DevOps tem crescido nos últimos anos devido à agilidade que ela traz ao desenvolvimento e à entrega de software. No caso da metodologia DevSecOps, sua popularidade crescente se deve à sua inteligente —incrivelmente não vista como necessária por alguns— inclusão da segurança na abordagem anterior sem afetar negativamente sua eficiência. Foi prudente responder às questões de segurança emergentes na entrega acelerada de tecnologia. Felizmente, um número crescente de organizações percebe a segurança como uma necessidade em um ambiente assolado por pessoas sem escrúpulos que desejam tirar vantagem da ignorância humana e erros por diferentes métodos e caminhos.

O DevSecOps é atraente porque permite a prevenção constante de riscos e a mitigação de ameaças que, sem dúvida, surgem no desenvolvimento de software. Também, porque a detecção precoce de vulnerabilidades possibilita sua remediação antes de entrar em produção e a um custo muito menor. Graças à implementação do DevSecOps, as organizações podem evitar gargalos com avaliações de última hora e interrupções na rápida entrega de tecnologia, o que pode até melhorar. Além disso, podem promover transparência, construir confiança, manter uma excelente reputação e até aumentar suas receitas com a ajuda de uma equipe fiavelmente comprometida com a segurança.

Desafios na adoção do DevSecOps

No entanto, desafios também podem surgir para as organizações adotarem a cultura DevSecOps. Um dos obstáculos mencionados com mais frequência é a resistência interna à mudança. Reajustar ou redefinir os modos operandi e mentalidades enraizados das pessoas frequentemente não é uma tarefa fácil. As equipes de desenvolvimento e operações podem ver a equipe de segurança como um obstáculo para a rápida entrega de resultados. Elas podem estar acostumadas a vê-la como uma equipe com prioridades diferentes, trabalhando anteriormente em um silo e até mesmo como um adicional em estágios posteriores do SDLC, que não deveria interromper seu fluxo de trabalho. Afinal, elas podem acreditar que segurança é sinônimo de lentidão, estagnação e até limitação da criatividade.

A falta de conhecimento sobre segurança e conformidade com requisitos também é considerada um desafio para a implementação do DevSecOps. É comum encontrar que os desenvolvedores carecem de habilidades relacionadas à segurança. Ideias ridículas podem até surgir do mal-entendido da prática do DevSecOps, como que esse método leva a um maior número de problemas de segurança. O que as pessoas estão falhando em ver claramente é que questões existentes são identificadas e relatadas em organizações graças a esse método, algo que não costuma acontecer com uma simples metodologia DevOps. Muitos querem ignorar que estão em risco. Eles simplesmente fecham os olhos até que o impacto os acorde.

Outro desafio na implementação do DevSecOps está relacionado às ferramentas. Normalmente, ferramentas DevOps, como aquelas para CI/CD, gestão de código-fonte, revisão de código e build, entre outras, vêm de diferentes fornecedores. Tudo pode ficar ainda mais complicado com a adição de ferramentas para testes de segurança. Com a ausência de documentação e treinamento, os desenvolvedores podem achar desafiador escolher entre as ferramentas disponíveis. Integrar as ferramentas nas pipelines do DevOps pode ser complicado e demorado para eles. Além disso, eles podem ter dificuldades para combinar e reconciliar resultados de diversas fontes, especialmente se forem de diferentes fornecedores.

Obviamente, desafios financeiros também podem surgir. Mudanças nas práticas de negócios podem ser custosas. Este é um impedimento para muitas empresas quando os termos curto e longo não são avaliados. Por exemplo, treinar a equipe e adquirir ferramentas pode envolver altos custos no curto prazo. No entanto, um lançamento rápido de produtos seguros e de alta qualidade pode gerar lucros a longo prazo, e a prevenção de ciberataques pode evitar custos ainda mais elevados.

Estratégia DevSecOps: melhores técnicas de implementação

De acordo com os princípios ou passos básicos mencionados acima, recomendamos as seguintes práticas para implementar corretamente a cultura DevSecOps em sua organização.

• Mudança cultural gradual: Como mencionado acima, a mudança começa com as pessoas. A adoção da cultura DevSecOps pode ocorrer como acontece com muitas outras tendências, ou seja, com um efeito em cadeia gradual. Não recomendamos promover imediatamente a metodologia para todas as equipes da sua organização. Você pode começar com pequenos grupos de indivíduos que já demonstraram um forte interesse que se encaixa nos propósitos do DevSecOps para incorporar essa cultura com novas práticas em seu trabalho diário. A partir daí, os benefícios alcançados podem servir de inspiração para adicionar mais membros da sua organização a uma mudança bem-sucedida. Claro, você deve lembrar que não se trata de dar vida a uma nova equipe chamada "DevSecOps." Os membros da sua equipe começarão a fazer a transição para uma mentalidade onde todos são responsáveis pela segurança.

• Treinamento e prática de segurança: Aqueles que já estão um pouco imersos em teoria e prática de segurança dentro da sua organização podem servir de apoio para dar os primeiros passos no DevSecOps, possivelmente acompanhados por especialistas externos na área. Com estes últimos, você pode obter serviços de avaliação de segurança antes de iniciar ciclos de desenvolvimento. Juntamente com sua equipe, eles podem ajudá-lo na modelagem de ameaças e definição de quais controles e requisitos de segurança implementar. Mas, com a ajuda dos primeiros, você deve imediatamente começar a enfrentar o desafio da falta de conhecimento. Os chamados Campeões de Segurança, às vezes na função de engenheiros DevSecOps, podem estabelecer planos de compartilhamento de conhecimento e ministrar treinamentos formais internos para aumentar a consciência sobre segurança dentro de cada equipe. Através deles e até cursos online, suas equipes devem receber treinamento em melhores práticas para codificação segura e manuseio e remediação de problemas de segurança. Naturalmente, eles devem testemunhar e participar da identificação de vulnerabilidades nos produtos da sua organização e em sua remediação, recebendo feedback contínuo. Para desenvolver ainda mais sua expertise e confiança, eles também podem recorrer a ganhar certificações.

• Escolha de momentos para atividades de segurança: Antes de pensar sobre quais tipos de atividades de segurança implementar em sua organização, é prudente refletir sobre os momentos do SDLC onde elas serão aplicadas. Ao definir esses pontos e através da discussão e análise de segurança, será mais fácil para você escolher as atividades e ferramentas adequadas para implementar. Por exemplo, considerando as primeiras fases do pipeline DevOps, o acima é mais especificamente direcionado ao processo de planejamento inicial. Na fase de codificação, atividades como revisão de código e protocolos de segurança para senhas e outras informações sensíveis são frequentemente utilizadas. Em seguida, na fase de construção, após ter adicionado código ao repositório, teste de segurança de aplicação estático (SAST) e análise de composição de software (SCA) podem entrar em cena. O primeiro revisa o código em busca de vulnerabilidades, enquanto o último revisa as dependências do código. Na fase de teste, tendo um produto pronto para execução e teste, teste de segurança de aplicação dinâmica (DAST) pode ser utilizado. Este método não acessa o código, mas envia vetores de ataque aos pontos finais das aplicações em execução. Testes de penetração podem ser realizados mais tarde no ciclo de vida do DevSecOps, na fase de lançamento. Este método depende de hackers que tentam contornar controles, criar exploits personalizados, etc.

(Imagem retirada daqui.)

• Automação de atividades de segurança: Automatizar ferramentas e processos relacionados à segurança dentro da metodologia DevSecOps é útil para evitar minar o objetivo da abordagem DevOps de injetar velocidade. A automação de processos permite que os processos ocorram de forma consistente e iterativa. Ferramentas de automação DevSecOps reduzem encargos ao fornecer alertas antecipados ou informações relevantes para os desenvolvedores para correção rápida de problemas de segurança. No entanto, é importante que você determine até onde a automação deve ir, pois intervenções manuais são sempre necessárias, por exemplo, testes de penetração. Certamente, o esforço manual continua sendo um componente indispensável para precisão e profundidade.

  Vale ressaltar que software e normas para sua regulamentação estão mudando constantemente. Portanto, a automação para avaliação de políticas e conformidade é bastante útil. Com base na indústria à qual sua organização pertence, sua equipe seleciona os requisitos de segurança que precisa atender ou aos quais é exigido conformidade, por exemplo, PCI DSS, HIPAA, GDPR. Uma vez que os requisitos são codificados, a automação permite que você verifique rapidamente no código ou produto se estão sendo violados e notifique a equipe para resolução imediata. Além disso, quando você tem a conformidade monitorada e recebe continuamente status completos do software, pode agilizar ações de resposta para evitar multas custosas e processos regulatórios.

• Avaliação de segurança incremental: Ao integrar e implementar atividades de segurança, é prudente ir devagar, sem aspirações desmedidas. Fazer o contrário, bombardeando os desenvolvedores com uma infinidade de descobertas a serem resolvidas em curtos períodos pode levar a um desejo de não trabalhar em consertá-las. Portanto, em vez de executar testes completos toda vez, uma avaliação gradual pode ser mais razoável, por exemplo, em casos iniciais, atendendo apenas áreas, ou procurando vulnerabilidades, de alta prioridade. Mais tarde, os testes ou atividades de segurança seguintes servirão como um complemento para uma avaliação mais ampla e profunda antes de ir para produção. Além disso, uma recomendação significativa para garantir agilidade é que a equipe de desenvolvedores da sua organização sempre envie o código em pequenos pedaços para revisão.

• Atividades manuais de segurança: Como já foi afirmado, enquanto a automação é relevante na adoção do DevSecOps, a atividade manual continua sendo especialmente importante. Ferramentas automatizadas de detecção de vulnerabilidades ainda relatam mentiras (falsos positivos) e fazem omissões (falsos negativos). Avaliações manuais podem realizar verificações sobre isso e escaneamentos mais profundos. Por exemplo, o exercício manual pode se concentrar em tarefas da perspectiva dos atacantes para explorar vulnerabilidades de maneira controlada e avaliar impactos potenciais na organização (hacking ético). A recomendação é que sua organização tenha seus sistemas avaliados em testes de penetração contínuos que mantenham uma cultura forte de remediação. Apenas testes de penetração regulares não são recomendados, já que o intervalo de tempo entre um teste e outro poderia dar aos atores de ameaças a chance de tirar proveito da exposição ao risco do seu sistema.

• Medindo desempenho e progresso: A medição faz parte da implementação adequada do DevSecOps. O ideal é coletar dados da sua organização sobre seu desempenho dentro da nova metodologia, organizá-los cuidadosamente e estabelecer métricas significativas. Entre os dados a serem capturados podem estar, por exemplo, aqueles relacionados a testes de segurança e suas descobertas, bem como atividades de remediação e implementação. As métricas permitem manter um registro do progresso. É de grande benefício ter uma plataforma que elimina ruídos na coleta de dados de diferentes fontes.

• Aprendendo com o feedback: Medir sucessos e falhas sempre será essencial na adoção do DevSecOps. Mas, ainda mais importante, é que esses registros sirvam para otimizar processos dentro da sua organização. Na integração e implantação contínuas de software, sempre haverá resultados a comparar e analisar. A detecção do que fez as coisas melhorarem ou piorarem em um processo ou ciclo é algo que você pode transmitir a suas equipes como feedback na esperança de que leve ao aprendizado. Quanto mais cedo você transmiti-lo, melhor.

• Nova governança: A governança clássica pode significar atrasos na entrega de software que de nenhuma maneira se encaixam dentro da cultura e mentalidade DevSecOps. A sugestão, então, é voltar à automação. Você pode automatizar atividades de verificação, como controles, antes que o software seja liberado para produção. Não há necessidade de avaliar manualmente um status de segurança final; aplique exceções pré-selecionadas e quebre a build quando houver problemas não resolvidos. Para adotar uma nova governança assim, dentro do DevSecOps, você deve ter a colaboração e aprovação de suas equipes.

Se você quer aprender sobre as melhores práticas do DevSecOps, ou seja, as ações que mantêm sua implementação ativa, vá para este post.

Ferramentas e recursos DevSecOps

A implementação do DevSecOps inclui ferramentas para diferentes tipos de testes de segurança integradas ao SDLC.

• SAST: Ferramentas para este tipo de teste escaneiam código que não está em execução para detectar erros de codificação e design que podem criar fraquezas exploráveis.

• SCA: Ferramentas para este tipo de teste escaneiam código e arquivos de componentes de código aberto e de terceiros para identificar vulnerabilidades conhecidas e problemas de licenciamento.

• DAST: Ferramentas para este tipo de teste, que não requer acesso ao código-fonte, avaliam aplicações em execução para detectar vulnerabilidades relacionadas à sua configuração de implantação, dados e lógica de negócios.

Algumas considerações recomendadas para a seleção de produtos DevSecOps incluem as seguintes:

• É fácil de instalar, configurar e usar.

• É altamente preciso, ou seja, gera baixas taxas de falsos positivos e falsos negativos, e procura o que você precisa que ele procure.

• É rápido o suficiente para trabalhar dentro do seu SDLC.

• Cobre políticas que sua empresa precisa atender.

• Pode trabalhar continuamente, em paralelo e integrado com outras ferramentas em uso.

Além disso, gostaríamos de destacar alguns recursos relacionados às ferramentas anteriores que são bastante úteis na implementação do DevSecOps:

• Testes de penetração: Nesta metodologia de teste de segurança, na qual o trabalho manual de hackers éticos predomina sobre checagens por ferramentas automatizadas, ataques reais são simulados para identificar vulnerabilidades que atores de ameaças em um determinado ambiente poderiam explorar.

• Plataforma de gerenciamento de resistência a ataques: Este é outro tipo de ferramenta que facilita o gerenciamento e a remediação de vulnerabilidades de segurança. Ela consolida dados obtidos por diferentes métodos e ferramentas, facilita a compreensão e análise dos problemas detectados, e prioriza as descobertas-chave para remediação rápida.

Saiba aqui como a Fluid Attacks utiliza ferramentas DevSecOps.

Implemente DevSecOps com a Fluid Attacks

Na Fluid Attacks, estamos prontos para ajudar você na transformação da sua organização, implementando o DevSecOps. Temos profissionais de segurança certificados e experientes encarregados de integrar processos e ferramentas de segurança desde o início e ao longo do seu SDLC. Em uma única solução, incluímos ferramentas automatizadas para testes de segurança, como SAST, AI SAST, DAST e SCA. Nossa equipe de hackers éticos adiciona procedimentos de testes de penetração ou simulação de violações e ataques e garante baixas taxas de falsos positivos e falsos negativos. Além disso, nossos testes de segurança podem verificar cerca de 50 normas de referência internacional para suas necessidades de conformidade.

Todas as vulnerabilidades de segurança que detectamos em seu software são relatadas em um único lugar: a plataforma da Fluid Attacks. Essa plataforma permite que você conheça o status de segurança dos seus sistemas e aplicativos, aprenda em detalhes sobre as vulnerabilidades detectadas e priorize-as para remediação rápida e correta. Além disso, essa plataforma permite que você acompanhe tratamentos e veja métricas que pode usar para comparar e tomar melhores decisões, entre muitas outras coisas. Na Fluid Attacks, hackeamos seu software continuamente para estar um passo à frente de atacantes maliciosos. Além disso, nossa solução DevSecOps faz com que a segurança permeie suas equipes para que seja entendida como uma responsabilidade de todos.

Você quer saber mais sobre DevSecOps?

Para mais informações sobre a solução da Fluid Attacks e como ela pode beneficiar sua organização, entre em contato com um de nossos especialistas. Também convidamos você a aprender como nossos serviços são fundamentais para implementar DevSecOps na AWS e Azure. Além disso, aqui estão dois dos nossos posts que respondem às seguintes perguntas sobre DevSecOps: O que é DevSecOps e o que faz um engenheiro DevSecOps?